重要事項
本文涵蓋傳統 Microsoft Purview 治理入口網站 (https://web.purview.azure.com) 的私人端點。 如果您使用新的 Microsoft Purview 入口網站 (https://purview.microsoft.com/) ,請遵循 Microsoft Purview 入口網站中私人端點的檔。
Conceptual overview
為 Microsoft Purview 帳戶設定私人端點時,準確的名稱解析是重要需求。
您可能需要在 DNS 設定中啟用內部名稱解析,才能將私人端點 IP 位址解析為完整網域名稱 (FQDN) ,從資料來源和管理機器解析為Microsoft Purview 帳戶和自我裝載整合執行階段,視您部署的案例而定。
提示
部署 DNS 區域時,請勿使用特定的 IP 位址。 Azure 資源的 IP 位址不是靜態的,使用靜態 IP 位址建置 DNS 區域最終會導致錯誤。
部署選項
使用私人端點進行 Microsoft Purview 帳戶時,使用下列任一選項來設定內部名稱解析:
- 在私人端點部署的 Azure 環境中部署新的 Azure 私用 DNS 區域。 (預設選項)
- 使用現有的 Azure 私用 DNS 區域。 如果您要在不同訂用帳戶的中樞和輪輻模型中使用私人端點,甚至在相同的訂用帳戶內使用私人端點,請使用此選項。
- 如果您不使用 DNS 轉寄站,而是直接在內部部署 DNS 伺服器中管理 A 記錄,請使用您自己的 DNS 伺服器。
提示
- 傳統Microsoft Purview 治理入口網站 (https://web.purview.azure.com) :支援 帳戶、 入口網站和 擷取 私人端點。
- 新的 Microsoft Purview 入口網站 (https://purview.microsoft.com/) :支援 平臺 和 擷取 私人端點。
選項 1 - 部署新的 Azure 私用 DNS 區域
部署新的 Azure 私用 DNS 區域
若要啟用內部名稱解析,您可以在部署 Microsoft Purview 帳戶的 Azure 訂用帳戶內部署必要的 Azure DNS 區域。
當您建立擷取、入口網站和帳戶私人端點時,Microsoft Purview 的 DNS CNAME 資源記錄會自動更新為少數子網域中具有前置詞 privatelink的別名:
根據預設,在部署 Microsoft Purview 帳戶的 帳戶 或 平臺 私人端點期間,我們也會建立 私人 DNS 區域 ,對應
privatelink至 Microsoft Purview 的子網域,如privatelink.purview.azure.com傳統 Microsoft Purview 治理入口網站和privatelink.purview-service.microsoft.comMicrosoft Purview 入口網站,包括私人端點的 DNS A 資源記錄。在部署 Microsoft Purview 帳戶的 入口網站 私人端點期間,我們也會建立新的私人 DNS 區域,對應
privatelink至 Microsoft Purview 的子網域,以privatelink.purviewstudio.azure.com包含 Web 的 DNS A 資源記錄。如果您啟用擷取私人端點,則受控或已設定的資源需要其他 DNS 區域。
下表顯示 Azure 私用 DNS 區域和 DNS A 記錄的範例,如果您在部署期間啟用私人 DNS 整合,則會部署為 Microsoft Purview 帳戶私人端點設定的一部分:
| 私人端點 | 與相關聯的私人端點 | 入口網站可用性 | DNS 區域 (新) | 記錄 (範例) |
|---|---|---|---|---|
| 帳戶 | Microsoft Purview | privatelink.purview.azure.com |
Contoso-Purview | |
| 平台 | Microsoft Purview | privatelink.purview-service.microsoft.com |
Contoso-Purview | |
| 入口網站 | Microsoft Purview | privatelink.purviewstudio.azure.com |
網址 | |
| 平台 | Microsoft Purview | privatelink.purview-service.microsoft.com |
網址 | |
| 攝取 | Microsoft Purview 擷取 - Blob* | privatelink.blob.core.windows.net |
ingestioneus2eastusksqky | |
| 攝取 | Microsoft Purview 擷取 - Blob* | privatelink.blob.storage.azure.net |
ingestioneus2eastusksqky | |
| 攝取 | Microsoft Purview 擷取 - 佇列* | privatelink.queue.core.windows.net |
ingestioneus2eastusksqky | |
| 攝取 | Microsoft Purview 擷取 - 佇列* | privatelink.queue.storage.azure.net |
ingestioneus2eastusksqky | |
| 攝取 | Microsoft Purview 設定的事件中樞 - 事件中樞** | privatelink.servicebus.windows.net |
地圖集-12345678-1234-1234-abcd-123456789abc |
注意事項
*如果您的帳戶是在 2023 年 12 月 15 日之前建立的,則端點會部署至您的受控儲存體帳戶。 如果它是在 11 月 10 日之後建立 (,或使用 API 版本 2023-05-01-preview) 部署的,則會指向擷取儲存體。
**您的帳戶只有在針對 kafka 通知設定 或在 2022 年 12 月 15 日之前建立時,才會有相關聯的事件中樞命名空間。
驗證 Azure 私用 DNS 區域上的虛擬網路連結
私人端點部署完成後,請確定所有對應的 Azure 私用 DNS 區域上都有虛擬網路連結,以至部署私人端點的 Azure 虛擬網路。
如需詳細資訊,請參閱 Azure 私人端點 DNS 設定。
驗證內部名稱解析
當您使用私人端點從虛擬網路外部解析 Microsoft Purview 端點 URL 時,它會解析為 Microsoft Purview 的公用端點。 從裝載私人端點的虛擬網路解析時,Microsoft Purview 端點 URL 會解析為私人端點的 IP 位址。
例如,如果 Microsoft Purview 帳戶名稱是 'Contoso-Purview',則從裝載私人端點的虛擬網路外部解析時,它會是:
| 名稱 | Type | Value (值) |
|---|---|---|
Contoso-Purview.purview.azure.com |
CNAME | Contoso-Purview.privatelink.purview.azure.com |
Contoso-Purview.privatelink.purview.azure.com |
CNAME | <Microsoft Purview 公用端點> |
| <Microsoft Purview 公用端點> | A | <Microsoft Purview 公用 IP 位址> |
Web.purview.azure.com |
CNAME | <Microsoft Purview 治理入口網站公用端點> |
Contoso-Purview 的 DNS 資源記錄在裝載私人端點的虛擬網路中解析時,將會是:
| 名稱 | Type | Value (值) |
|---|---|---|
Contoso-Purview.purview.azure.com |
CNAME | Contoso-Purview.privatelink.purview.azure.com |
Contoso-Purview.privatelink.purview.azure.com |
A | <Microsoft Purview 帳戶私人端點 IP 位址> |
Web.purview.azure.com |
CNAME | <Microsoft Purview 入口網站私人端點 IP 位址> |
選項 2 - 使用現有的 Azure 私用 DNS 區域
使用現有的 Azure 私用 DNS 區域
在部署 Microsoft Purview 私人端點期間,您可以使用現有的私用 DNS 區域選擇私人私用 DNS 整合。 這是私人端點用於 Azure 中其他服務的組織的常見情況。 在此情況下,在部署私人端點期間,請確定您選取現有的 DNS 區域,而不是建立新的區域。
如果您的組織針對所有 Azure 私用 DNS 區域使用中央或中樞訂用帳戶,則此案例也適用。
下列清單顯示 Microsoft Purview 私人端點所需的 Azure DNS 區域和 A 記錄:
重要事項
使用 和環境中ingestioneus2eastusksqkyatlas-12345678-1234-1234-abcd-123456789abc對應的 Azure 資源名稱更新Contoso-Purview所有名稱。
-
Contoso-Purview是您的 Microsoft Purview 帳戶的名稱。 - 您只需要與您正在使用的入口網站相關聯的端點:
- 傳統Microsoft Purview 治理入口網站 (https://web.purview.azure.com) :支援 帳戶、 入口網站和 擷取 私人端點。
- 新的 Microsoft Purview 入口網站 (https://purview.microsoft.com/) :支援 平臺 和 擷取 私人端點。
- 如果您的帳戶 已針對 kafka 通知設定, 或是在 2022 年 12 月 15 日之前建立,
atlas-12345678-1234-1234-abcd-123456789abc則是您的事件中樞命名空間。 - 如果您的帳戶是在 2023 年 12 月 15 日 之前 建立,
ingestioneus2eastusksqky請使用 Microsoft Purview 受控儲存體帳戶的名稱。 - 如果您的帳戶是在 2023 年 12 月 15 日 之後 建立的 (,或使用 API 版本 2023-05-01-preview) 部署,請保持
ingestioneus2eastusksqky原樣。
| 私人端點 | 與相關聯的私人端點 | 入口網站可用性 | DNS 區域 (現有) | 記錄 (範例) |
|---|---|---|---|---|
| 帳戶 | Microsoft Purview | privatelink.purview.azure.com |
Contoso-Purview | |
| 平台 | Microsoft Purview | privatelink.purview-service.microsoft.com |
Contoso-Purview | |
| 入口網站 | Microsoft Purview | privatelink.purviewstudio.azure.com |
網址 | |
| 攝取 | Microsoft Purview 擷取 - Blob* | privatelink.blob.core.windows.net |
ingestioneus2eastusksqky | |
| 攝取 | Microsoft Purview 擷取 - Blob* | privatelink.blob.storage.azure.net |
ingestioneus2eastusksqky | |
| 攝取 | Microsoft Purview 擷取 - 佇列* | privatelink.queue.core.windows.net |
ingestioneus2eastusksqky | |
| 攝取 | Microsoft Purview 擷取 - 佇列* | privatelink.queue.storage.azure.net |
ingestioneus2eastusksqky | |
| 攝取 | Microsoft Purview 設定的事件中樞** | privatelink.servicebus.windows.net |
地圖集-12345678-1234-1234-abcd-123456789abc |
注意事項
*如果您的帳戶是在 2023 年 12 月 15 日之前建立的,則端點會部署至您的受控儲存體帳戶。 如果它是在 11 月 10 日之後建立 (,或使用 API 版本 2023-05-01-preview) 部署的,則會指向擷取儲存體。 **您的帳戶只有在針對 kafka 通知設定 或在 2022 年 12 月 15 日之前建立時,才會有相關聯的事件中樞命名空間。
如需詳細資訊,請參閱 沒有自訂 DNS 伺服器的虛擬網路工作負載,以及 Azure 私人端點 DNS 設定中使用 DNS 轉寄站案例的內部部署工作負載。
確認 Azure 私用 DNS 區域上的虛擬網路連結
私人端點部署完成後,請確定所有對應的 Azure 私用 DNS 區域上都有虛擬網路連結,以至部署私人端點的 Azure 虛擬網路。
如需詳細資訊,請參閱 Azure 私人端點 DNS 設定。
如果使用自訂 DNS,請設定 DNS 轉寄站
此外,您必須在自我裝載整合執行階段 VM 或管理電腦所在的 Azure 虛擬網路上驗證您的 DNS 設定。
如果設定為 預設,則此步驟不需要進一步的動作。
如果使用自訂 DNS 伺服器,您應該在下列區域的 DNS 伺服器內新增對應的 DNS 轉寄站:
- Purview.azure.com
- purviewstudio.azure.com
- Blob.core.windows.net
- Queue.core.windows.net
- Blob.storage.azure.net
- Queue.storage.azure.net
- Servicebus.windows.net
驗證內部名稱解析
當您使用私人端點從虛擬網路外部解析 Microsoft Purview 端點 URL 時,它會解析為 Microsoft Purview 的公用端點。 從裝載私人端點的虛擬網路解析時,Microsoft Purview 端點 URL 會解析為私人端點的 IP 位址。
例如,如果 Microsoft Purview 帳戶名稱是 'Contoso-Purview',則從裝載私人端點的虛擬網路外部解析時,它會是:
| 名稱 | Type | Value (值) |
|---|---|---|
Contoso-Purview.purview.azure.com |
CNAME | Contoso-Purview.privatelink.purview.azure.com |
Contoso-Purview.privatelink.purview.azure.com |
CNAME | <Microsoft Purview 公用端點> |
| <Microsoft Purview 公用端點> | A | <Microsoft Purview 公用 IP 位址> |
Web.purview.azure.com |
CNAME | <Microsoft Purview 治理入口網站公用端點> |
Contoso-Purview 的 DNS 資源記錄在裝載私人端點的虛擬網路中解析時,將會是:
| 名稱 | Type | Value (值) |
|---|---|---|
Contoso-Purview.purview.azure.com |
CNAME | Contoso-Purview.privatelink.purview.azure.com |
Contoso-Purview.privatelink.purview.azure.com |
A | <Microsoft Purview 帳戶私人端點 IP 位址> |
Web.purview.azure.com |
CNAME | <Microsoft Purview 入口網站私人端點 IP 位址> |
選項 3 - 使用您自己的 DNS 伺服器
如果您不使用 DNS 轉寄站,而是直接在內部部署 DNS 伺服器中管理 A 記錄,以透過其私人 IP 位址解析端點,則可能需要在 DNS 伺服器中建立下列 A 記錄。
重要事項
使用 和環境中ingestioneus2eastusksqkyatlas-12345678-1234-1234-abcd-123456789abc對應的 Azure 資源名稱更新Contoso-Purview所有名稱。
-
Contoso-Purview是您的 Microsoft Purview 帳戶的名稱。 - 您只需要與您正在使用的入口網站相關聯的端點:
- 傳統Microsoft Purview 治理入口網站 (https://web.purview.azure.com) :支援 帳戶、 入口網站和 擷取 私人端點。
- 新的 Microsoft Purview 入口網站 (https://purview.microsoft.com/) :支援 平臺 和 擷取 私人端點。
- 如果您的帳戶 已針對 kafka 通知設定, 或是在 2022 年 12 月 15 日之前建立,
atlas-12345678-1234-1234-abcd-123456789abc則是您的事件中樞命名空間。 - 如果您的帳戶是在 2023 年 12 月 15 日 之前 建立,
ingestioneus2eastusksqky請使用 Microsoft Purview 受控儲存體帳戶的名稱。 - 如果您的帳戶是在 2023 年 12 月 15 日 之後 建立的 (,或使用 API 版本 2023-05-01-preview) 部署,請保持
ingestioneus2eastusksqky原樣。
| 名稱 | Type | 值 | 入口網站可用性 |
|---|---|---|---|
web.purview.azure.com |
A | <Microsoft Purview 的入口網站私人端點 IP 位址> | 傳統入口網站 |
ingestioneus2eastusksqky.blob.core.windows.net, ingestioneus2eastusksqky.blob.storage.azure.net |
A | <Microsoft Purview 的 blob-ingestion 私人端點 IP 位址> | 傳統和新入口網站 |
ingestioneus2eastusksqky.queue.core.windows.net, ingestioneus2eastusksqky.queue.storage.azure.net |
A | <佇列擷取私人端點 Microsoft Purview 的 IP 位址> | 傳統和新入口網站 |
atlas-12345678-1234-1234-abcd-123456789abc.servicebus.windows.net |
A | <命名空間擷取私人端點 Microsoft Purview 的 IP 位址> | 傳統和新入口網站 |
Contoso-Purview.Purview.azure.com |
A | <Microsoft Purview 的帳戶/平臺私人端點 IP 位址> | 傳統和新入口網站 |
Contoso-Purview.scan.Purview.azure.com |
A | <Microsoft Purview 的帳戶/平臺私人端點 IP 位址> | 傳統和新入口網站 |
Contoso-Purview.catalog.Purview.azure.com |
A | <Microsoft Purview 的帳戶/平臺私人端點 IP 位址> | 傳統和新入口網站 |
Contoso-Purview.proxy.purview.azure.com |
A | <Microsoft Purview 的帳戶/平臺私人端點 IP 位址> | 傳統和新入口網站 |
Contoso-Purview.guardian.purview.azure.com |
A | <Microsoft Purview 的帳戶/平臺私人端點 IP 位址> | 傳統和新入口網站 |
gateway.purview.azure.com |
A | <Microsoft Purview 的帳戶/平臺私人端點 IP 位址> | 傳統和新入口網站 |
insight.prod.ext.web.purview.azure.com |
A | <Microsoft Purview 的入口網站私人端點 IP 位址> | 傳統入口網站 |
manifest.prod.ext.web.purview.azure.com |
A | <Microsoft Purview 的入口網站私人端點 IP 位址> | 傳統入口網站 |
cdn.prod.ext.web.purview.azure.com |
A | <Microsoft Purview 的入口網站私人端點 IP 位址> | 傳統入口網站 |
hub.prod.ext.web.purview.azure.com |
A | <Microsoft Purview 的入口網站私人端點 IP 位址> | 傳統入口網站 |
catalog.prod.ext.web.purview.azure.com |
A | <Microsoft Purview 的入口網站私人端點 IP 位址> | 傳統入口網站 |
cseo.prod.ext.web.purview.azure.com |
A | <Microsoft Purview 的入口網站私人端點 IP 位址> | 傳統入口網站 |
datascan.prod.ext.web.purview.azure.com |
A | <Microsoft Purview 的入口網站私人端點 IP 位址> | 傳統入口網站 |
datashare.prod.ext.web.purview.azure.com |
A | <Microsoft Purview 的入口網站私人端點 IP 位址> | 傳統入口網站 |
datasource.prod.ext.web.purview.azure.com |
A | <Microsoft Purview 的入口網站私人端點 IP 位址> | 傳統入口網站 |
policy.prod.ext.web.purview.azure.com |
A | <Microsoft Purview 的入口網站私人端點 IP 位址> | 傳統入口網站 |
sensitivity.prod.ext.web.purview.azure.com |
A | <Microsoft Purview 的入口網站私人端點 IP 位址> | 傳統入口網站 |
web.privatelink.purviewstudio.azure.com |
A | <Microsoft Purview 的入口網站私人端點 IP 位址> | 傳統入口網站 |
workflow.prod.ext.web.purview.azure.com |
A | <Microsoft Purview 的入口網站私人端點 IP 位址> | 傳統入口網站 |
驗證和 DNS 測試名稱解析和連線能力
如果您使用 Azure 私用 DNS 區域,請確定已在 Azure 訂用帳戶中建立下列 DNS 區域和對應的 A 記錄:
私人端點 與相關聯的私人端點 入口網站可用性 DNS 區域 (現有) 記錄 (範例) 帳戶 Microsoft Purview 傳統入口網站 privatelink.purview.azure.comContoso-Purview 平台 Microsoft Purview 新入口網站 privatelink.purview-service.microsoft.comContoso-Purview 入口網站 Microsoft Purview 傳統入口網站 privatelink.purviewstudio.azure.com網址 攝取 Microsoft Purview 擷取 - Blob* 傳統和新入口網站 privatelink.blob.core.windows.net,privatelink.blob.storage.azure.netingestioneus2eastusksqky 攝取 Microsoft Purview 擷取 - 佇列* 傳統和新入口網站 privatelink.queue.core.windows.net,privatelink.queue.storage.azure.netingestioneus2eastusksqky 攝取 事件中樞** 傳統和新入口網站 privatelink.servicebus.windows.net地圖集-12345678-1234-1234-abcd-123456789abc 注意事項
*如果您的帳戶是在 2023 年 12 月 15 日之前建立的,則端點會部署至您的受控儲存體帳戶。 如果它是在 11 月 10 日之後建立 (,或使用 API 版本 2023-05-01-preview) 部署的,則會指向擷取儲存體。 **您的帳戶只有在針對 kafka 通知設定 或在 2022 年 12 月 15 日之前建立時,才會有相關聯的事件中樞命名空間。
在 Azure 私用 DNS 區域中建立 Azure 虛擬網路的虛擬網路連結,以允許內部名稱解析。
從您的管理電腦和自我裝載整合執行階段 VM,使用 Nslookup.exe 和 PowerShell 等工具,測試名稱解析和網路連線到 Microsoft Purview 帳戶
若要測試名稱解析,您必須透過其私人 IP 位址解析下列 FQDN: (使用與您的 Purview 帳戶名稱相關聯的主機名稱,以及受控或設定的資源名稱,而不是 Contoso-Purview、ingestioneus2eastusksqky 或 atlas-12345678-1234-1234-abcd-123456789abc,請使用與您的 Purview 帳戶名稱相關聯的主機名稱,以及受控或設定的資源名稱)
Contoso-Purview.purview.azure.comweb.purview.azure.comingestioneus2eastusksqky.blob.core.windows.netingestioneus2eastusksqky.queue.core.windows.netatlas-12345678-1234-1234-abcd-123456789abc.servicebus.windows.net
若要測試網路連線能力,您可以從自我裝載整合執行階段 VM 啟動 PowerShell 主控台,並使用 Test-NetConnection測試連線能力。
您必須依其私人端點解析每個端點,並將 TcpTestSucceeded 取得為 True。 (使用與您的 Purview 帳戶名稱相關聯的主機名稱,以及受控或設定的資源名稱,而不是 Contoso-Purview、ingestioneus2eastusksqky 或 atlas-12345678-1234-1234-abcd-123456789abc,)
Test-NetConnection -ComputerName Contoso-Purview.purview.azure.com -port 443Test-NetConnection -ComputerName web.purview.azure.com -port 443Test-NetConnection -ComputerName ingestioneus2eastusksqky.blob.core.windows.net -port 443Test-NetConnection -ComputerName ingestioneus2eastusksqky.queue.core.windows.net -port 443Test-NetConnection -ComputerName atlas-12345678-1234-1234-abcd-123456789abc.servicebus.windows.net -port 443
下列範例顯示來自虛擬網路外部或未設定 Azure 私人端點時的 Microsoft Purview DNS 名稱解析。
下列範例顯示虛擬網路內部的 Microsoft Purview DNS 名稱解析。
注意事項
這些影像中的值是範例。 使用本文中的資訊來正確設定您的 DNS 區域。